Pré-requisitos para implantar o Serviço de Aplicativo no Azure Stack Hub

Importante

Atualize Azure Stack Hub para uma versão com suporte, se necessário, antes de implantar ou atualizar o provedor de recursos Serviço de Aplicativo do Azure. Leia as notas de versão do provedor de recursos para saber mais sobre novas funcionalidades, correções e quaisquer problemas conhecidos que possam afetar sua implantação.

Versão mínima do Azure Stack Hub com suporte Versão do provedor de recursos do App Service
2311 e posteriores 25R1 instalador, 25R1 pacote offline (notas de versão)

Antes de implantar Serviço de Aplicativo do Azure no Azure Stack Hub, conclua as etapas de pré-requisito neste artigo.

Implantações de sistema integrado do Azure Stack Hub

Pré-requisitos do provedor de recursos

Se você já instalou um provedor de recursos, provavelmente concluiu os pré-requisitos a seguir e pode ignorar esta seção. Caso contrário, conclua estas etapas antes de continuar.

  1. Registre sua instância do Azure Stack Hub no Azure, caso ainda não tenha feito isso. Você precisa registrar sua instância de Azure Stack Hub com Azure porque você se conectará a Azure e baixará itens do marketplace.

  2. Se você não estiver familiarizado(a) com o recurso Gerenciamento do Marketplace do portal de administrador do Azure Stack Hub, revise Baixar itens do marketplace do Azure e publicar no Azure Stack Hub. O artigo orienta você pelo processo de download de itens do Azure para o marketplace do Azure Stack Hub. Abrange cenários conectados e desconectados. Se sua instância de Azure Stack Hub estiver desconectada ou parcialmente conectada, você precisará concluir pré-requisitos adicionais em preparação para instalação.

  3. Atualizar seu diretório base do Microsoft Entra. A partir do build 1910, você deve registrar um novo aplicativo no locatário do diretório inicial. Esse aplicativo permite que Azure Stack Hub crie e registre com êxito provedores de recursos mais recentes (como Hubs de Eventos do Azure e outros) com seu locatário Microsoft Entra.

    Essa ação é necessária depois que você atualiza para o build 1910 ou posterior. Se você não concluir essa etapa, as instalações de provedores de recursos do marketplace falharão.

  4. Depois de atualizar com êxito sua instância de Azure Stack Hub para 1910 ou posterior, siga as instructions para clonar/baixar o repositório Azure Stack Hub Tools.

  5. Siga as instruções para atualizar o diretório base do Microsoft Entra do Azure Stack Hub (após instalar atualizações ou novos provedores de recursos).

Scripts de instalador e auxiliar

  1. Baixe os scripts helper para implantação do Serviço de Aplicativo em Azure Stack Hub.

    Os scripts auxiliares de implantação exigem o módulo AzureRM PowerShell. Para obter detalhes da instalação, consulte Instalar módulos do PowerShell Az e Azure Stack para Azure Stack Hub.

  2. Baixe o installer para o Serviço de Aplicativo em Azure Stack Hub.

  3. Extraia o conteúdo do arquivo .zip para os scripts auxiliares. Os seguintes arquivos e pastas são extraídos:

    • Common.ps1
    • Criar-AADIdentityApp.ps1
    • Criar-ADFSIdentityApp.ps1
    • Criar-AppServiceCerts.ps1
    • Get-AzureStackRootCert.ps1
    • BCDR
      • ReACL.cmd
    • Pasta dos módulos
      • GraphAPI.psm1

Requisitos de certificado

Para executar o provedor de recursos em produção, você deve fornecer os seguintes certificados:

  • Certificado de domínio padrão
  • Certificado API
  • Certificado de publicação
  • Certificado de identidade

Além dos requisitos específicos listados nas seções a seguir, você usará uma ferramenta posteriormente para testar os requisitos gerais. Para obter a lista completa de validações, consulte Validate Azure Stack Hub certificados PKI. As validações incluem:

  • Formato de arquivo de .pfx.
  • Uso da chave definido para autenticação de servidor e de cliente.
  • Vários outros.

Certificado de domínio padrão

O provedor de recursos coloca o certificado de domínio padrão na função front-end. Aplicativos do usuário para solicitações de domínios curinga ou padrão para o Serviço de Aplicativo do Azure usam este certificado. O certificado também protege as operações de controle do código-fonte (Kudu).

O certificado deve estar no formato .pfx e deve ser um certificado curinga de três assuntos. Esse requisito permite que um certificado cubra o domínio padrão e o scm ponto de extremidade para operações de controle do código-fonte.

Formatar Exemplo
*.appservice.<region>.<DomainName>.<extension> *.appservice.redmond.azurestack.external
*.scm.appservice.<region>.<DomainName>.<extension> *.scm.appservice.redmond.azurestack.external
*.sso.appservice.<region>.<DomainName>.<extension> *.sso.appservice.redmond.azurestack.external

Certificado API

Coloque o certificado de API na função de gerenciamento. O provedor de recursos o usa para ajudar a proteger chamadas de API. O certificado para publicação deve conter um assunto que corresponda à entrada DNS da API.

Formatar Exemplo
api.appservice.<region>.<DomainName>.<extension> api.appservice.redmond.azurestack.external

Certificado de publicação

O certificado para a função de publicador ajuda a proteger o tráfego FTPS dos proprietários de aplicativos ao carregarem conteúdo. O certificado para publicação deve conter um assunto que corresponda à entrada DNS da FTPS.

Formatar Exemplo
ftp.appservice.<region>.<DomainName>.<extension> ftp.appservice.redmond.azurestack.external

Certificado de identidade

O certificado do aplicativo de identidade permite:

  • Integração entre o diretório Microsoft Entra ou Serviços de Federação do Active Directory (AD FS) (AD FS), Azure Stack Hub e Serviço de Aplicativo para dar suporte à integração com o provedor de recursos de computação.
  • Cenários de SSO (logon único) para ferramentas avançadas de desenvolvedor em Serviço de Aplicativo do Azure no Azure Stack Hub.

O certificado de identidade deve conter um titular que esteja em conformidade com o formato a seguir.

Formatar Exemplo
sso.appservice.<region>.<DomainName>.<extension> sso.appservice.redmond.azurestack.external

Validação de certificado

Antes de implantar o provedor de recursos do Serviço de Aplicativo, valorize os certificados usando a ferramenta verificador de preparação Azure Stack Hub disponível no Galeria do PowerShell. A Ferramenta de Verificação de Preparação do Azure Stack Hub valida se os certificados PKI gerados são adequados para a implantação do Serviço de Aplicativo.

Quando estiver trabalhando com qualquer um dos certificados PKI necessários Azure Stack Hub, planeje tempo suficiente para testar e reemissar certificados, se necessário.

Preparação do servidor de arquivos

Serviço de Aplicativo do Azure requer um servidor de arquivos. Para implantações de produção, você deve configurar o servidor de arquivos para estar altamente disponível e capaz de lidar com falhas.

Usar um modelo de início rápido para um servidor de arquivos e SQL Server

Um modelo de início rápido de uma arquitetura de referência está disponível para implantar um servidor de arquivos de alta disponibilidade e o SQL Server. Este modelo dá suporte à infraestrutura do Active Directory em uma rede virtual configurada para oferecer suporte a uma implantação de alta disponibilidade do Serviço de Aplicativo do Azure no Azure Stack Hub.

O operador Azure Stack Hub gerencia esses servidores, especialmente em ambientes de produção. Configure o modelo conforme necessário ou conforme exigido pela sua organização.

Observação

A instância integrada do sistema deve ser capaz de baixar recursos de GitHub para concluir a implantação.

Implantar um servidor de arquivos personalizado

Se você optar por implantar o Serviço de Aplicativo em uma rede virtual existente, implante o servidor de arquivos em uma sub-rede separada do Serviço de Aplicativo.

Se você optar por implantar um servidor de arquivos usando qualquer um dos modelos de início rápido mencionados anteriormente, ignore esta seção. Os servidores de arquivos são configurados como parte da implantação do modelo.

Provisionar grupos e contas no Active Directory

  1. Crie os seguintes grupos de segurança global do Active Directory:

    • FileShareOwners
    • FileShareUsers

  2. Crie as seguintes contas do Active Directory como contas de serviço:

    • FileShareOwner
    • FileShareUser

    Como prática recomendada de segurança, use usuários exclusivos para essas contas (e para todas as funções da Web). Use também nomes de usuário e senhas fortes. Defina as senhas com as seguintes condições:

    • Habilitar A senha nunca expira.
    • Habilitar O usuário não pode alterar a senha.
    • Desativar O usuário deve alterar a senha no próximo logon.

  3. Adicionar as contas às associações de grupo, desta forma:

    • Adicionar FileShareOwner ao grupo FileShareOwners.
    • Adicionar FileShareUser ao grupo FileShareUsers.
Provisionar grupos e contas em um grupo de trabalho.

Ao configurar um servidor de arquivos, execute todos os comandos a seguir em um prompt de comando do administrador. Não use o PowerShell.

Quando você usa o modelo do Azure Resource Manager, os usuários já são criados.

  1. Execute os comandos a seguir para criar as contas FileShareOwner e FileShareUser . Substitua <password> pelos seus próprios valores.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
net user FileShareUser <password> /add /expires:never /passwordchg:no

  2. Defina as senhas para que as contas nunca expirem executando os seguintes WMIC comandos:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE

  3. Crie os grupos locais FileShareUsers e FileShareOwners e adicione as contas na primeira etapa a eles:

    net localgroup FileShareUsers /add
net localgroup FileShareUsers FileShareUser /add
net localgroup FileShareOwners /add
net localgroup FileShareOwners FileShareOwner /add

Provisione o compartilhamento de conteúdo

O compartilhamento de conteúdo contém o conteúdo do site do locatário. O procedimento para provisionar o compartilhamento de conteúdo em um único servidor de arquivos é o mesmo para ambientes do Active Directory e de grupo de trabalho. É diferente para um cluster de failover no Active Directory.

Em um único servidor de arquivos para Active Directory ou um grupo de trabalho, execute os comandos a seguir em um prompt de comando com privilégios elevados. Substitua o valor for C:\WebSites pelos caminhos correspondentes em seu ambiente.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Configuração do controle de acesso aos compartilhamentos

Execute os comandos a seguir em um prompt de comando com privilégios elevados no servidor de arquivos ou no nó do cluster de failover, que é o proprietário do recurso de cluster atual. Substitua as variáveis pelos valores específicos do seu ambiente.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Grupo de trabalho

set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Preparação da instância do SQL Server

Observação

Se você optar por implantar o modelo de início rápido para um servidor de arquivos altamente disponível e SQL Server, ignore esta seção. O modelo implanta e configura SQL Server em uma configuração altamente disponível.

Para os bancos de dados de hospedagem e medição para Serviço de Aplicativo do Azure em Azure Stack Hub, você deve preparar uma instância SQL Server para manter os bancos de dados do Serviço de Aplicativo.

Para fins de produção e alta disponibilidade, use uma versão completa do SQL Server 2016 SP3 ou posterior, habilite a autenticação de modo misto e implante em uma configuração quase disponível.

Todas as funções do Serviço de Aplicativo devem acessar a instância SQL Server para Serviço de Aplicativo do Azure no Azure Stack Hub. Você pode implantar SQL Server na assinatura do provedor padrão no Azure Stack Hub. Ou você pode usar a infraestrutura existente em sua organização, desde que haja conectividade com Azure Stack Hub. Se você estiver usando uma imagem Microsoft Marketplace, lembre-se de configurar o firewall adequadamente.

Observação

As imagens de IaaS (infraestrutura como serviço) do SQL para VMs (máquinas virtuais) estão disponíveis por meio do recurso Gerenciamento do Marketplace. Certifique-se de sempre baixar a versão mais recente da extensão IaaS do SQL antes de implantar uma VM usando um item do Marketplace. As imagens SQL são as mesmas que as VMs SQL disponíveis no Azure. Para VMs SQL criadas a partir dessas imagens, a extensão IaaS e os aprimoramentos do portal correspondentes fornecem recursos como aplicação automática de patches e recursos de backup.

Para qualquer função do SQL Server, você pode usar uma instância padrão ou uma instância nomeada. Se você usar uma instância nomeada, inicie manualmente o serviço do navegador SQL Server e abra a porta 1434.

O instalador do Serviço de Aplicativo verifica se SQL Server tem a contenção de banco de dados habilitada. Para habilitar a contenção de banco de dados na instância SQL Server que hospeda os bancos de dados do Serviço de Aplicativo, execute estes comandos SQL:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Considerações de licenciamento para o servidor de arquivos necessário e o SQL Server

O Serviço de Aplicativo do Azure no Azure Stack Hub requer um servidor de arquivos e o SQL Server para operar. Você pode usar recursos preexistentes localizados fora da implantação do Azure Stack Hub ou implantar recursos na assinatura do provedor padrão do Azure Stack Hub.

Se você optar por implantar os recursos em sua assinatura de provedor padrão Azure Stack Hub, o custo de Serviço de Aplicativo do Azure em Azure Stack Hub inclui as licenças para esses recursos (licenças Windows Server e licenças SQL Server). As licenças estão sujeitas às seguintes restrições:

  • Você implanta a infraestrutura na assinatura do provedor padrão.
  • O provedor de recursos para Serviço de Aplicativo do Azure em Azure Stack Hub usa exclusivamente a infraestrutura. Nenhuma outra carga de trabalho administrativa (outros provedores de recursos, como SQL-RP) ou locatário (por exemplo, aplicativos de locatário que exigem um banco de dados) tem permissão para usar essa infraestrutura.

Responsabilidade operacional para o servidor de arquivos e SQL Server

Os operadores de nuvem são responsáveis pela manutenção e operação do servidor de arquivos e SQL Server. O provedor de recursos não gerencia esses recursos. O operador de nuvem é responsável por fazer backup dos bancos de dados do Serviço de Aplicativo e do compartilhamento de arquivos de conteúdo do locatário.

Script para recuperar o certificado raiz Azure Resource Manager para Azure Stack Hub

Abra uma sessão do PowerShell com privilégios elevados em um computador que possa alcançar o endpoint privilegiado no sistema integrado Azure Stack Hub.

Execute o Get-AzureStackRootCert.ps1 script da pasta em que você extraiu os scripts auxiliares. O script cria um certificado raiz na mesma pasta que o script que o Serviço de Aplicativo precisa para criar certificados.

Ao executar o seguinte comando do PowerShell, forneça o ponto de extremidade privilegiado e as credenciais para AzureStack\CloudAdmin:

Get-AzureStackRootCert.ps1

Parâmetros de script Get-AzureStackRootCert.ps1

Parâmetro Obrigatório ou opcional Valor padrão Descrição
PrivilegedEndpoint Obrigatório AzS-ERCS01 Ponto de extremidade privilegiado
CloudAdminCredential Obrigatório AzureStack\CloudAdmin Credencial de conta de domínio para administradores de nuvem do Azure Stack Hub

Configuração de rede e identidade

A configuração de rede e identidade para Serviço de Aplicativo do Azure no Azure Stack Hub envolve a configuração da infraestrutura de rede e do gerenciamento de identidade necessários para dar suporte ao provedor de recursos.

Configurar uma rede virtual

Com Serviço de Aplicativo do Azure em Azure Stack Hub, você pode implantar o provedor de recursos em uma rede virtual existente ou criar uma rede virtual como parte da implantação. Se você usar uma rede virtual existente, poderá usar IPs internos para se conectar ao servidor de arquivos e à instância do SQL Server exigida pelo App Service no Azure Stack Hub.

Antes de instalar o Serviço de Aplicativo no Azure Stack Hub, configure a rede virtual com o seguinte intervalo de endereços e sub-redes:

  • Rede virtual, /16

  • Sub-redes:

    • ControllersSubnet, /24
    • ManagementServersSubnet, /24
    • FrontEndsSubnet, /24
    • PublishersSubnet, /24
    • WorkersSubnet, /21

Criar uma rede virtual personalizada com antecedência é opcional. Serviço de Aplicativo do Azure em Azure Stack Hub pode criar a rede virtual necessária, mas deve se comunicar com SQL Server e com o servidor de arquivos por meio de endereços IP públicos. Se você usar o modelo de início rápido para o servidor de arquivos de alta disponibilidade do App Service e o SQL Server para implantar os recursos de servidor pré-requisitos, o modelo também implantará uma rede virtual.

Importante

Se você optar por implantar o Serviço de Aplicativo em uma rede virtual existente, implante SQL Server em uma sub-rede separada do Serviço de Aplicativo e do servidor de arquivos.

Criar um aplicativo de identidade para habilitar cenários de SSO

O Serviço de Aplicativo do Azure usa uma aplicação de identidade (entidade de serviço) para dar suporte às operações a seguir:

  • Integração de conjuntos de dimensionamento de máquinas virtuais em camadas de trabalho
  • SSO para o portal do Azure Functions e ferramentas avançadas para desenvolvedores (Kudu)

Dependendo de qual provedor de identidade Azure Stack Hub usa (Microsoft Entra ID ou AD FS), siga as etapas apropriadas para criar a entidade de serviço que Serviço de Aplicativo do Azure usará no provedor de recursos Azure Stack Hub.

Criar uma aplicação Microsoft Entra

Siga estas etapas para criar a entidade de serviço em seu locatário do Microsoft Entra:

  1. Abra uma instância do PowerShell como azurestack\AzureStackAdmin.

  2. Vá para o local dos scripts que você baixou e extraiu anteriormente neste artigo.

  3. Instalar o PowerShell para o Azure Stack Hub.

  4. Execute o script Create-AADIdentityApp.ps1 . Quando solicitado, insira a ID do locatário do Microsoft Entra que você está usando para a implantação do Azure Stack Hub. Por exemplo, insira myazurestack.onmicrosoft.com.

  5. Na janela Credencial insira sua conta de administrador de serviço do Microsoft Entra e senha. Selecione OK.

  6. Insira o caminho do arquivo de certificado e a senha do certificado que você criou anteriormente. O certificado para esta etapa é sso.appservice.local.azurestack.external.pfx por padrão.

  7. Anote a ID do aplicativo na saída do PowerShell. Use a ID nas etapas a seguir para fornecer consentimento para as permissões do aplicativo e durante a instalação.

  8. Abra uma nova janela do navegador e entre no portal do Azure como administrador do serviço do Microsoft Entra.

  9. Abra o serviço Microsoft Entra.

  10. No painel esquerdo, selecione Registros de Aplicativo.

  11. Pesquise a ID do aplicativo que você anotou na etapa 7.

  12. Selecione o registro do aplicativo do Serviço de Aplicativo na lista.

  13. No painel esquerdo, selecione Permissões da API.

  14. Selecione Conceder consentimento do administrador paralocatário, onde locatário é o nome do seu locatário do Microsoft Entra. Selecione Sim para confirmar a concessão de consentimento.

  15. Para cenários de multilocação, execute o script do PowerShell a seguir para conceder as permissões Directory.Read.All e user_impersonation ao registro de aplicativo do Serviço de Aplicativo usando o ponto de extremidade de administração do Azure Resource Manager.

    # Build the admin endpoint by replacing the region and the FQDN with the values specific to your system
$adminarmendpoint = https://adminmanagement.<region>.<FQDN>/
Add-AzEnvironment -Name "AzureStackAdmin" -ArmEndpoint $userarmendpoint
# Home directory
$AADTenantName = "xxx"
$authEndpoint = (Get-AzEnvironment -Name "AzureStackAdmin").ActiveDirectoryAuthority.TrimEnd('/')
$TenantId = (invoke-restmethod "$($AuthEndpoint)/$($AADTenantName)/.well-known/openid-configuration").issuer.TrimEnd('/').Split('/')[-1]
Login-AzAccount -EnvironmentName "AzureStackAdmin" -TenantId $TenantID

# Enter the region name of your Azure Stack Hub system
$Location = '<region>'
$AppServicesAppId = '' # The identity app's application ID; use the Azure portal to get it - Entra ID - App Registration - App Services - Application ID
$AppServicesObjectId = '' # The identity app's object ID; use the Azure portal to get it - Entra ID - App Registration - App Services - Object ID

# The applicationId property in the JSON returned from https://<AdminArmEndpoint>/metadata/identity?api-version=2015-01-01
$TenantArmAppId = (Invoke-WebRequest "$adminarmendpoint/metadata/identity?api-version=2015-01-01" -UseBasicParsing | select -ExpandProperty Content | ConvertFrom-Json | select applicationId).applicationId

$params = @{
    ResourceGroupName = "system.$Location"
    ResourceType = 'Microsoft.Subscriptions.Providers/applicationRegistrations'
    ResourceName = 'AppService'
    ApiVersion = '2018-05-01'
    Location = $Location
    Properties = @{
        appId = $AppServicesAppId
        objectId = $AppServicesObjectId
        appRoleAssignments = @(@{
            client = $AppServicesAppId
            roleId = ([guid]('00000002-0000-0000-c000-000000000000')).ToString() # Well-known value for the Directory.Read.All permission
            resource = ([guid]('00000002-0000-0000-c000-000000000000')).ToString() # Well-known value for Microsoft.Azure.ActiveDirectory
        })
        oAuth2PermissionGrants = @(@{
            client = $AppServicesAppId
            resource = ([guid]('00000002-0000-0000-c000-000000000000')).ToString() # Well-known value for Microsoft.Azure.ActiveDirectory
            scope = 'User.Read Directory.Read.All'
        }, @{
            client = $AppServicesAppId
            resource = $tenantArmAppId
            scope = 'user_impersonation'
        })
    }
}
New-AzResource @params -Verbose -Force

    Depois de executar esse script, cada locatário que precisa usar o Serviço de Aplicativo deverá executar novamente o script de registro. Consulte Configurar a multilocação no Azure Stack Hub.

Create-AADIdentityApp script do PowerShell

Create-AADIdentityApp.ps1
Parâmetro Obrigatório ou opcional Valor padrão Descrição
DirectoryTenantName Obrigatório Null ID de locatário do Microsoft Entra. Forneça o GUID ou a cadeia de caracteres. Um exemplo é myazureaaddirectory.onmicrosoft.com.
AdminArmEndpoint Obrigatório Null Ponto de Extremidade de Gerenciador de Recursos do Azure do Administrador Um exemplo é adminmanagement.local.azurestack.external.
TenantARMEndpoint Obrigatório Null Ponto de Extremidade do Gerenciador de Recursos do Azure do Locatário Um exemplo é management.local.azurestack.external.
AzureStackAdminCredential Obrigatório Null Credencial de administrador de serviço do Microsoft Entra.
CertificateFilePath Obrigatório Null Caminho completo para o arquivo de certificado do aplicativo de identidade gerado anteriormente.
CertificatePassword Obrigatório Null Senha que ajuda a proteger a chave privada do certificado.
Environment Opcional AzureCloud Nome do ambiente de nuvem com suporte no qual o serviço de Microsoft Graph de destino está disponível. Valores permitidos: AzureCloud, , AzureChinaCloudAzureUSGovernment, AzureGermanCloud.

Criar um aplicativo do AD FS

  1. Abra uma instância do PowerShell como azurestack\AzureStackAdmin.

  2. Vá para o local dos scripts que você baixou e extraiu anteriormente neste artigo.

  3. Instalar o PowerShell para o Azure Stack Hub.

  4. Execute o script Create-ADFSIdentityApp.ps1 .

  5. Na janela Credencial sua conta de administrador de nuvem e senha do AD FS. Selecione OK.

  6. Forneça o caminho do arquivo de certificado e a senha do certificado para o certificado que você criou anteriormente. O certificado para esta etapa é sso.appservice.local.azurestack.external.pfx por padrão.

Create-ADFSIdentityApp.ps1
Parâmetro Obrigatório ou opcional Valor padrão Descrição
AdminArmEndpoint Obrigatório Null Ponto de Extremidade de Gerenciador de Recursos do Azure do Administrador Um exemplo é adminmanagement.local.azurestack.external.
PrivilegedEndpoint Obrigatório Null Ponto de extremidade privilegiado. Um exemplo é AzS-ERCS01.
CloudAdminCredential Obrigatório Null Credencial de conta de domínio para administradores de nuvem do Azure Stack Hub. Um exemplo é Azurestack\CloudAdmin.
CertificateFilePath Obrigatório Null Caminho completo para o arquivo de certificado PFX do aplicativo de identidade.
CertificatePassword Obrigatório Null Senha que ajuda a proteger a chave privada do certificado.

Baixar itens do Microsoft Marketplace

O Serviço de Aplicativo do Azure no Azure Stack Hub exige que você baixe itens do Microsoft Marketplace para disponibilizá-los no marketplace do Azure Stack Hub. Antes de iniciar a implantação ou atualização de Serviço de Aplicativo do Azure no Azure Stack Hub, baixe os itens a seguir.

Importante

Windows Server Core não é uma imagem de plataforma com suporte para uso com Serviço de Aplicativo do Azure no Azure Stack Hub.

Não use imagens de avaliação para implantações de produção.

  • Versão mais recente da imagem da VM do Datacenter do Windows Server 2022.

  • Imagem completa de VM do Windows Server 2022 Datacenter com Microsoft .NET 3.5.1 SP1 ativado. Serviço de Aplicativo do Azure no Azure Stack Hub requer que Microsoft .NET 3.5.1 SP1 seja ativado na imagem que você usa para implantação. As imagens do Windows Server 2022 distribuídas pelo Marketplace não têm esse recurso habilitado. Em ambientes desconectados, a imagem não consegue se conectar ao Microsoft Update para baixar os pacotes para instalação por meio do DISM. Você deve criar e usar uma imagem Windows Server 2022 com esse recurso pré-habilitado para implantações desconectadas.

    Para obter informações sobre como criar uma imagem personalizada e adicioná-la ao Marketplace, consulte Add uma imagem de VM personalizada para Azure Stack Hub. Especifique as seguintes propriedades ao adicionar a imagem ao Marketplace:

    • Publicador: Digite MicrosoftWindowsServer.
    • Oferta: insira o WindowsServer.
    • SKU: insira AppService.
    • Versão: especifique a versão mais recente.
  • Extensão de Script Personalizado v1.9.1 ou posterior. Este item é uma extensão de VM.

Conteúdo relacionado

  • Last updated on